CN116208334A - 身份认证方法、系统和相关设备 - Google Patents
身份认证方法、系统和相关设备 Download PDFInfo
- Publication number
- CN116208334A CN116208334A CN202111453622.6A CN202111453622A CN116208334A CN 116208334 A CN116208334 A CN 116208334A CN 202111453622 A CN202111453622 A CN 202111453622A CN 116208334 A CN116208334 A CN 116208334A
- Authority
- CN
- China
- Prior art keywords
- user
- identity
- security
- client
- security agent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/14—Systems for two-way working
- H04N7/15—Conference systems
- H04N7/155—Conference systems involving storage of or access to video conference sessions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种身份认证方法、系统和相关设备,涉及信息安全技术领域。身份认证方法包括:响应于安全平台对客户端的用户进行的验证通过,安全平台向客户端发送相应的用户身份票据,以便客户端根据用户身份票据和获取的CA安全证书,生成具有数字签名的、用户的通信令牌;安全平台接收客户端发送的通信令牌;在客户端向安全代理发送用户的访问请求之后,安全平台将用户的通信令牌发送给安全代理;安全平台接收安全代理发送的用户查询请求,其中,用户查询请求包括通信令牌;安全平台利用CA公钥解密通信令牌,获得用户身份票据;安全平台根据用户身份票据查询用户的真实身份;安全平台将用户的真实身份发送给安全代理,以便对用户的访问进行控制。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种身份认证方法、系统和相关设备。
背景技术
视频会议系统在各行各业得到了广泛应用。在视频会议系统的应用中,会议内容通常涉及企事业单位的敏感信息、或高价值信息。目前,视频会议产品的用户主要通过会议号+密码的方式接入,或者由视频会议主办方通过管理手段限制参会人员范围的手段来降低视频会议系统的安全风险。
发明内容
发明人经过分析后发现,目前的视频会议产品大多无法有效鉴别参会人员的身份。如果不法分子获得会议信息参会,假冒企业员工身份,窃取企业机密,将会造成巨大的经济损失。
本发明实施例所要解决的一个技术问题是:如何提供一种安全性更高的身份认证方法。
根据本发明一些实施例的第一个方面,提供一种身份认证方法,包括:响应于安全平台对客户端的用户进行的验证通过,安全平台向客户端发送相应的用户身份票据,以便客户端根据用户身份票据和获取的CA安全证书,生成具有数字签名的、用户的通信令牌;安全平台接收客户端发送的通信令牌;在客户端向安全代理发送用户的访问请求之后,安全平台将用户的通信令牌发送给安全代理;安全平台接收安全代理发送的用户查询请求,其中,用户查询请求包括通信令牌;安全平台利用CA公钥解密通信令牌,获得用户身份票据;安全平台根据用户身份票据查询用户的真实身份;安全平台将用户的真实身份发送给安全代理,以便安全代理或安全代理连接的应用系统根据用户的真实身份对用户的访问进行控制。
在一些实施例中,身份认证方法还包括:响应于安全平台对客户端的用户进行的验证通过,安全平台向客户端发送应用白名单,其中,应用白名单包括应用系统。
在一些实施例中,身份认证方法还包括:安全平台接收客户端发送的认证请求,其中,认证请求包括客户端的用户对应的用户侧信息,其中,用户侧信息包括用户真实身份;安全平台对用户侧信息进行验证;响应于安全平台对客户端的用户进行的验证通过,安全平台生成用户的用户身份票据。
在一些实施例中,用户侧信息还包括设备信息或环境信息。
在一些实施例中,身份认证方法还包括:安全平台统计预设时间段内安全代理发送的用户查询请求的次数,以便在次数小于预设阈值的情况下,将用户的真实身份发送给安全代理,以及在次数不小于预设阈值的情况下,拒绝安全代理的用户查询请求。
根据本发明一些实施例的第二个方面,提供一种身份认证方法,包括:安全代理接收用户的客户端发送的、用户的访问请求;安全代理根据访问请求,从安全平台获取用户的通信令牌,其中,通信令牌是在安全平台对用户的验证通过后,客户端根据安全平台发送的用户身份票据和获取的CA安全证书生成的,并且客户端将通信令牌发送给安全平台;安全代理向安全平台发送用户查询请求,其中,用户查询请求包括通信令牌,以便安全平台利用CA公钥解密通信令牌,获得用户身份票据,并根据用户身份票据查询用户的真实身份;安全代理接收安全平台发送的、用户的真实身份,以便安全代理或安全代理连接的应用系统根据用户的真实身份对用户的访问进行控制。
在一些实施例中,身份认证方法还包括:安全代理将用户的真实身份发送给应用系统;安全代理接收应用系统发送的、对用户的访问控制结果;安全代理将访问控制结果发送给客户端。
在一些实施例中,身份认证方法还包括:安全代理获取允许接入应用系统的用户名单;安全代理根据用户的真实身份,判断用户是否位于用户名单中;如果用户位于用户名单中,安全代理向客户端发送允许访问消息;如果用户不位于用户名单中,安全代理向客户端发送拒绝访问消息。
根据本发明一些实施例的第三个方面,提供一种用于身份认证的安全平台,包括:用户身份票据发送模块,被配置为响应于安全平台对客户端的用户进行的验证通过,向客户端发送相应的用户身份票据,以便客户端根据用户身份票据和获取的CA安全证书,生成具有数字签名的、用户的通信令牌;通信令牌接收模块,被配置为接收客户端发送的通信令牌;通信令牌发送模块,被配置为在客户端向安全代理发送用户的访问请求之后,将用户的通信令牌发送给安全代理;查询请求接收模块,被配置为接收安全代理发送的用户查询请求,其中,用户查询请求包括通信令牌;解密模块,被配置为利用CA公钥解密通信令牌,获得用户身份票据;身份查询模块,被配置为根据用户身份票据查询用户的真实身份;身份发送模块,被配置为将用户的真实身份发送给安全代理,以便安全代理或安全代理连接的应用系统根据用户的真实身份对用户的访问进行控制。
在一些实施例中,安全平台还包括:白名单发送模块,被配置为响应于安全平台对客户端的用户进行的验证通过,向客户端发送应用白名单,其中,应用白名单包括应用系统。
在一些实施例中,安全平台还包括:验证模块,被配置为接收客户端发送的认证请求,其中,认证请求包括客户端的用户对应的用户侧信息,其中,用户侧信息包括用户真实身份;对用户侧信息进行验证;响应于安全平台对客户端的用户进行的验证通过,生成用户的用户身份票据。
在一些实施例中,安全平台还包括:统计模块,被配置为统计预设时间段内安全代理发送的用户查询请求的次数,以便在次数小于预设阈值的情况下,将用户的真实身份发送给安全代理,以及在次数不小于预设阈值的情况下,拒绝安全代理的用户查询请求。
根据本发明一些实施例的第四个方面,提供一种用于身份认证的安全平台,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器中的指令,执行前述任意一种身份认证方法。
根据本发明一些实施例的第五个方面,提供一种用于身份认证的安全代理,包括:访问请求接收模块,被配置为接收用户的客户端发送的、用户的访问请求;通信令牌获取模块,被配置为根据访问请求,从安全平台获取用户的通信令牌,其中,通信令牌是在安全平台对用户的验证通过后,客户端根据安全平台发送的用户身份票据和获取的CA安全证书生成的,并且客户端将通信令牌发送给安全平台;查询请求发送模块,被配置为向安全平台发送用户查询请求,其中,用户查询请求包括通信令牌,以便安全平台利用CA公钥解密通信令牌,获得用户身份票据,并根据用户身份票据查询用户的真实身份;真实身份接收模块,被配置为接收安全平台发送的、用户的真实身份,以便安全代理或安全代理连接的应用系统根据用户的真实身份对用户的访问进行控制。
在一些实施例中,安全代理还包括:第一访问控制模块,被配置为将用户的真实身份发送给应用系统;接收应用系统发送的、对用户的访问控制结果;将访问控制结果发送给客户端。
在一些实施例中,安全代理还包括:第二访问控制模块,被配置为获取允许接入应用系统的用户名单;根据用户的真实身份,判断用户是否位于用户名单中;如果用户位于用户名单中,向客户端发送允许访问消息;如果用户不位于用户名单中,向客户端发送拒绝访问消息。
根据本发明一些实施例的第六个方面,提供一种用于身份认证的安全代理,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器中的指令,执行前述任意一种身份认证方法。
根据本发明一些实施例的第七个方面,提供一种身份认证系统,包括:前述任意一种安全平台;以及前述任意一种安全代理。
在一些实施例中,身份认证系统还包括:客户端。
根据本发明一些实施例的第八个方面,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述任意一种身份认证方法。
上述发明中的一些实施例具有如下优点或有益效果。本发明的实施例能够为应用系统提供可信身份服务,确保应用系统的接入者的身份真实可靠,从而提高应用系统的安全性。并且,上述实施例可实现用户通信身份的可信验证及身份信息的安全传递,该过程基于软件实现,无需进行硬件改造,也对硬件无特殊要求。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出了根据本发明一些实施例的身份认证方法的流程示意图。
图2示出了根据本发明另一些实施例的身份认证方法的流程示意图。
图3示出了根据本发明一些实施例的用于身份认证的安全平台的结构示意图。
图4示出了根据本发明一些实施例的用于身份认证的安全代理的结构示意图。
图5示出了根据本发明一些实施例的身份认证系统的结构示意图。
图6示出了根据本发明一些实施例的身份认证系统的网络结构示意图。
图7示出了根据本发明一些实施例的身份认证装置的结构示意图。
图8示出了根据本发明另一些实施例的身份认证装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1示出了根据本发明一些实施例的身份认证方法的流程示意图。如图1所示,该实施例的身份认证方法包括步骤S102~S118。
在步骤S102中,响应于安全平台对客户端的用户进行的验证通过,安全平台向客户端发送用户身份票据。
在一些实施例中,该客户端为安全客户端,用于对客户端所在的用户终端设备进行实时安全检测。
在一些实施例中,安全平台运行在通用服务器上。
在一些实施例中,响应于安全平台对客户端的用户进行的验证通过,除了用户身份票据以外,安全平台还向客户端发送应用白名单,其中,应用白名单包括应用系统。从而,可以告知用户哪些应用系统是用户可接入的。
在步骤S104中,客户端根据用户身份票据和获取的CA(Certificate Authority,证书授权)安全证书,生成具有数字签名的、用户的通信令牌。
在步骤S106中,客户端将通信令牌发送给安全平台。
在步骤S108中,客户端向安全代理发送用户的访问请求。
在一些实施例中,安全代理运行在应用系统的服务器上。例如,应用系统为视频会议系统,则安全代理运行在视频会议服务器上。
在步骤S110中,安全代理根据访问请求,从安全平台获取用户的通信令牌。
在一些实施例中,安全代理向安全平台请求获取用户的通信令牌,安全平台查询通信令牌数据库,确认是否有该用户与应用系统之间通信的令牌,如果查询到相应的令牌,则返回给安全代理。
在步骤S112中,安全代理向安全平台发送用户查询请求,其中,用户查询请求包括通信令牌。
在步骤S114中,安全平台利用CA公钥解密通信令牌,获得用户身份票据。
在步骤S116中,安全平台根据用户身份票据查询用户的真实身份。
在步骤S118中,安全平台将用户的真实身份发送给安全代理,以便安全代理或安全代理连接的应用系统根据用户的真实身份对用户的访问进行控制。
在一些实施例中,安全平台统计预设时间段内安全代理发送的用户查询请求的次数,以便在次数小于预设阈值的情况下,将用户的真实身份发送给安全代理,以及在次数不小于预设阈值的情况下,拒绝安全代理的用户查询请求。从而,在安全代理频繁查询时,在一定时间内不允许其查询行为,进一步提高了安全性。
在一些实施例中,若允许用户访问,则安全代理向客户端发送允许访问消息;若不允许用户访问,则安全代理向客户端发送拒绝访问消息。
上述实施例的方法基于零信任机制。首先通过客户端与安全平台交互,以实现用户身份的安全认证。在认证通过后,安全平台向客户端下发用户身份票据。客户端基于用户身份票据动态生成可信的通信令牌,并向应用系统发送访问请求。可信的安全代理根据客户端的访问请求,基于可信的安全令牌向安全平台查询用户身份,最终将可信身份在应用系统中呈现出来。
在这一过程中,首先,可信身份证明机制实现了身份信息的安全传递,安全客户端基于身份票据为每次通信动态生成带数字签名的通信令牌,安全代理通过通信令牌查询用户真实身份;其次,基于“先认证后连接”的机制,即对用户身份进行认证,认证通过后才能建立连接请求,用户可信身份经过应用系统侧确认后方可建立连接,可有效提高应用系统的安全性;再者,上述过程提供了应用授权管理机制,即对视频会议系统访问需经过安全平台的授权,可有效降低非授权人员或终端访问应用系统的风险。
从而,上述实施例能够为应用系统提供可信身份服务,确保应用系统的接入者的身份真实可靠,从而提高应用系统的安全性。并且,上述实施例可实现用户通信身份的可信验证及身份信息的安全传递,该过程基于软件实现,无需进行硬件改造,也对硬件无特殊要求。
图2示出了根据本发明另一些实施例的身份认证方法的流程示意图。如图2所示,该实施例的身份认证方法包括步骤S202~S206,以及步骤S102~S122。步骤S102~S122的具体实施方式参见图1实施例,这里不再赘述。
在步骤S202中,安全平台接收客户端发送的认证请求,其中,认证请求包括客户端的用户对应的用户侧信息,其中,用户侧信息包括用户真实身份。
在一些实施例中,用户侧信息还包括设备信息或环境信息。例如,安全平台验证设备或者环境是否符合安全要求、是否达到预设版本等等。
在步骤S204中,安全平台对用户侧信息进行验证。
在步骤S206中,响应于安全平台对客户端的用户进行的验证通过,安全平台生成用户的用户身份票据。
从而,在建立连接之前,先对用户身份进行认证,从而可以提高应用系统的安全性。
在安全代理获取用户的真实身份后,有多种方式对用户进行访问控制,下面示例性地描述两种方式。
在一些实施例中,安全代理将用户的真实身份发送给应用系统;安全代理接收应用系统发送的、对用户的访问控制结果;安全代理将访问控制结果发送给客户端。以视频会议系统为例。会议发起人发起快速会议,仅向参会人员提供参会方式,未在视频会议系统录入参会人员名单。当终端的客户端发起视频会议的访问请求时,安全代理会将终端对应参会人员的可信身份在视频会议的交互界面中呈现出来,且需经过会议发起人确认是否允许接入。
在一些实施例中,安全代理获取允许接入应用系统的用户名单;安全代理根据用户的真实身份,判断用户是否位于用户名单中;如果用户位于用户名单中,安全代理向客户端发送允许访问消息;如果用户不位于用户名单中,安全代理向客户端发送拒绝访问消息。仍以视频会议系统为例。会议发起人在视频会议系统中录入参会人员名单。当终端的客户端发起视频会议的访问请求时,安全代理会将终端对应参会人员的可信身份与参会人员名单做比对,如果发起访问的终端未在参会人员名单中,直接拒绝访问请求。
图3示出了根据本发明一些实施例的用于身份认证的安全平台的结构示意图。如图3所示,该实施例的安全平台300包括:用户身份票据发送模块3100,被配置为响应于安全平台对客户端的用户进行的验证通过,向客户端发送相应的用户身份票据,以便客户端根据用户身份票据和获取的CA安全证书,生成具有数字签名的、用户的通信令牌;通信令牌接收模块3200,被配置为接收客户端发送的通信令牌;通信令牌发送模块3300,被配置为在客户端向安全代理发送用户的访问请求之后,将用户的通信令牌发送给安全代理;查询请求接收模块3400,被配置为接收安全代理发送的用户查询请求,其中,用户查询请求包括通信令牌;解密模块3500,被配置为利用CA公钥解密通信令牌,获得用户身份票据;身份查询模块3600,被配置为根据用户身份票据查询用户的真实身份;身份发送模块3700,被配置为将用户的真实身份发送给安全代理,以便安全代理或安全代理连接的应用系统根据用户的真实身份对用户的访问进行控制。
在一些实施例中,安全平台300还包括:白名单发送模块3800,被配置为响应于安全平台对客户端的用户进行的验证通过,向客户端发送应用白名单,其中,应用白名单包括应用系统。
在一些实施例中,安全平台300还包括:验证模块3900,被配置为接收客户端发送的认证请求,其中,认证请求包括客户端的用户对应的用户侧信息,其中,用户侧信息包括用户真实身份;对用户侧信息进行验证;响应于安全平台对客户端的用户进行的验证通过,生成用户的用户身份票据。
在一些实施例中,安全平台300还包括:统计模块3000,被配置为统计预设时间段内安全代理发送的用户查询请求的次数,以便在次数小于预设阈值的情况下,将用户的真实身份发送给安全代理,以及在次数不小于预设阈值的情况下,拒绝安全代理的用户查询请求。
图4示出了根据本发明一些实施例的用于身份认证的安全代理的结构示意图。如图4所示,该实施例的安全代理400包括:访问请求接收模块4100,被配置为接收用户的客户端发送的、用户的访问请求;通信令牌获取模块4200,被配置为根据访问请求,从安全平台获取用户的通信令牌,其中,通信令牌是在安全平台对用户的验证通过后,客户端根据安全平台发送的用户身份票据和获取的CA安全证书生成的,并且客户端将通信令牌发送给安全平台;查询请求发送模块4300,被配置为向安全平台发送用户查询请求,其中,用户查询请求包括通信令牌,以便安全平台利用CA公钥解密通信令牌,获得用户身份票据,并根据用户身份票据查询用户的真实身份;真实身份接收模块4400,被配置为接收安全平台发送的、用户的真实身份,以便安全代理或安全代理连接的应用系统根据用户的真实身份对用户的访问进行控制。
在一些实施例中,安全代理400还包括:第一访问控制模块4500,被配置为将用户的真实身份发送给应用系统;接收应用系统发送的、对用户的访问控制结果;将访问控制结果发送给客户端。
在一些实施例中,安全代理400还包括:第二访问控制模块4600,被配置为获取允许接入应用系统的用户名单;根据用户的真实身份,判断用户是否位于用户名单中;如果用户位于用户名单中,向客户端发送允许访问消息;如果用户不位于用户名单中,向客户端发送拒绝访问消息。
图5示出了根据本发明一些实施例的身份认证系统的结构示意图。如图5所示,该实施例的身份认证系统50包括安全平台300和安全代理400。
在一些实施例中,身份认证系统50还包括客户端500。
图6示出了根据本发明一些实施例的身份认证系统的网络结构示意图,该实施例描述了用户终端与应用系统服务器分属于不同运营商的情况。如图6所示,安装有安全客户端的用户终端61位于运营商A的网络中,运营商A的IP关口局包括IBCF(InterconnectionBorder Control Functions,网络互联边界控制功能)62和TrGW(Transition Gateway,转换网关)63,用户终端61与IBCF 62和TrGW 63通过RTP(Real-time Transport Protocol,实时传输协议)通信;此外,用户终端61通过SIP(Session Initiation Protocol,会话初始协议)与CSCF(Call Session Control Function,呼叫会话控制功能)64通信,IBCF 62和TrGW63也通过SIP协议与CSCF 64通信;应用系统的安全代理68位于运营商B的网络中,运营商B的IP关口局包括IBCF 65和TrGW 66,安全代理68与IBCF 65和TrGW 66通过RTP协议通信;此外,安全代理68通过SIP协议与CSCF 67通信,IBCF 65和TrGW 66也通过SIP协议与CSCF 67通信;安全平台69通过互联网与用户终端61和安全代理68通信连接;用户终端61和安全代理68通过各自运营商网络中的IP关口局通信,两个IP关口局通过SIP协议和RTP协议通信。
图7示出了根据本发明一些实施例的身份认证装置的结构示意图,该身份认证装置为安全平台或者安全代理。如图7所示,该实施例的身份认证装置70包括:存储器710以及耦接至该存储器710的处理器720,处理器720被配置为基于存储在存储器710中的指令,执行前述任意一个实施例中的身份认证方法。
其中,存储器710例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。
图8示出了根据本发明另一些实施例的身份认证装置的结构示意图,该身份认证装置为安全平台或者安全代理。如图8所示,该实施例的身份认证装置80包括:存储器810以及处理器820,还可以包括输入输出接口830、网络接口840、存储接口850等。这些接口830,840,850以及存储器810和处理器820之间例如可以通过总线860连接。其中,输入输出接口830为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口840为各种联网设备提供连接接口。存储接口850为SD卡、U盘等外置存储设备提供连接接口。
本发明的实施例还提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现前述任意一种身份认证方法。
本领域内的技术人员应当明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (20)
1.一种身份认证方法,包括:
响应于安全平台对客户端的用户进行的验证通过,所述安全平台向所述客户端发送相应的用户身份票据,以便所述客户端根据所述用户身份票据和获取的证书授权CA安全证书,生成具有数字签名的、所述用户的通信令牌;
所述安全平台接收所述客户端发送的所述通信令牌;
在所述客户端向安全代理发送所述用户的访问请求之后,所述安全平台将所述用户的通信令牌发送给所述安全代理;
所述安全平台接收所述安全代理发送的用户查询请求,其中,所述用户查询请求包括所述通信令牌;
所述安全平台利用CA公钥解密所述通信令牌,获得所述用户身份票据;
所述安全平台根据所述用户身份票据查询所述用户的真实身份;
所述安全平台将所述用户的真实身份发送给所述安全代理,以便所述安全代理或所述安全代理连接的应用系统根据所述用户的真实身份对用户的访问进行控制。
2.根据权利要求1所述的身份认证方法,还包括:
响应于安全平台对客户端的用户进行的验证通过,所述安全平台向所述客户端发送应用白名单,其中,所述应用白名单包括所述应用系统。
3.根据权利要求1所述的身份认证方法,还包括:
所述安全平台接收所述客户端发送的认证请求,其中,所述认证请求包括所述客户端的用户对应的用户侧信息,其中,所述用户侧信息包括用户真实身份;
所述安全平台对所述用户侧信息进行验证;
响应于安全平台对客户端的用户进行的验证通过,所述安全平台生成所述用户的用户身份票据。
4.根据权利要求3所述的身份认证方法,其中,所述用户侧信息还包括设备信息或环境信息。
5.根据权利要求1所述的身份认证方法,还包括:
所述安全平台统计预设时间段内所述安全代理发送的用户查询请求的次数,以便在所述次数小于预设阈值的情况下,将所述用户的真实身份发送给所述安全代理,以及在所述次数不小于预设阈值的情况下,拒绝所述安全代理的用户查询请求。
6.一种身份认证方法,包括:
安全代理接收用户的客户端发送的、所述用户的访问请求;
所述安全代理根据所述访问请求,从所述安全平台获取所述用户的通信令牌,其中,所述通信令牌是在所述安全平台对所述用户的验证通过后,所述客户端根据所述安全平台发送的用户身份票据和获取的CA安全证书生成的,并且所述客户端将所述通信令牌发送给安全平台;
所述安全代理向所述安全平台发送用户查询请求,其中,所述用户查询请求包括所述通信令牌,以便所述安全平台利用CA公钥解密所述通信令牌,获得所述用户身份票据,并根据所述用户身份票据查询所述用户的真实身份;
所述安全代理接收所述安全平台发送的、所述用户的真实身份,以便所述安全代理或所述安全代理连接的应用系统根据所述用户的真实身份对用户的访问进行控制。
7.根据权利要求6所述的身份认证方法,还包括:
所述安全代理将所述用户的真实身份发送给应用系统;
所述安全代理接收所述应用系统发送的、对所述用户的访问控制结果;
所述安全代理将所述访问控制结果发送给所述客户端。
8.根据权利要求6所述的身份认证方法,还包括:
所述安全代理获取允许接入所述应用系统的用户名单;
所述安全代理根据所述用户的真实身份,判断所述用户是否位于所述用户名单中;
如果所述用户位于所述用户名单中,所述安全代理向所述客户端发送允许访问消息;
如果所述用户不位于所述用户名单中,所述安全代理向所述客户端发送拒绝访问消息。
9.一种用于身份认证的安全平台,包括:
用户身份票据发送模块,被配置为响应于安全平台对客户端的用户进行的验证通过,向所述客户端发送相应的用户身份票据,以便所述客户端根据所述用户身份票据和获取的CA安全证书,生成具有数字签名的、所述用户的通信令牌;
通信令牌接收模块,被配置为接收所述客户端发送的所述通信令牌;
通信令牌发送模块,被配置为在所述客户端向安全代理发送所述用户的访问请求之后,将所述用户的通信令牌发送给所述安全代理;
查询请求接收模块,被配置为接收所述安全代理发送的用户查询请求,其中,所述用户查询请求包括所述通信令牌;
解密模块,被配置为利用CA公钥解密所述通信令牌,获得所述用户身份票据;
身份查询模块,被配置为根据所述用户身份票据查询所述用户的真实身份;
身份发送模块,被配置为将所述用户的真实身份发送给所述安全代理,以便所述安全代理或所述安全代理连接的应用系统根据所述用户的真实身份对用户的访问进行控制。
10.根据权利要求9所述的安全平台,还包括:
白名单发送模块,被配置为响应于安全平台对客户端的用户进行的验证通过,向所述客户端发送应用白名单,其中,所述应用白名单包括所述应用系统。
11.根据权利要求9所述的安全平台,还包括:
验证模块,被配置为接收所述客户端发送的认证请求,其中,所述认证请求包括所述客户端的用户对应的用户侧信息,其中,所述用户侧信息包括用户真实身份;对所述用户侧信息进行验证;响应于安全平台对客户端的用户进行的验证通过,生成所述用户的用户身份票据。
12.根据权利要求9所述的安全平台,还包括:
统计模块,被配置为统计预设时间段内所述安全代理发送的用户查询请求的次数,以便在所述次数小于预设阈值的情况下,将所述用户的真实身份发送给所述安全代理,以及在所述次数不小于预设阈值的情况下,拒绝所述安全代理的用户查询请求。
13.一种用于身份认证的安全平台,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求1~5中任一项所述的身份认证方法。
14.一种用于身份认证的安全代理,包括:
访问请求接收模块,被配置为接收用户的客户端发送的、所述用户的访问请求;
通信令牌获取模块,被配置为根据所述访问请求,从所述安全平台获取所述用户的通信令牌,其中,所述通信令牌是在所述安全平台对所述用户的验证通过后,所述客户端根据所述安全平台发送的用户身份票据和获取的CA安全证书生成的,并且所述客户端将所述通信令牌发送给安全平台;
查询请求发送模块,被配置为向所述安全平台发送用户查询请求,其中,所述用户查询请求包括所述通信令牌,以便所述安全平台利用CA公钥解密所述通信令牌,获得所述用户身份票据,并根据所述用户身份票据查询所述用户的真实身份;
真实身份接收模块,被配置为接收所述安全平台发送的、所述用户的真实身份,以便所述安全代理或所述安全代理连接的应用系统根据所述用户的真实身份对用户的访问进行控制。
15.根据权利要求14所述的安全代理,还包括:
第一访问控制模块,被配置为将所述用户的真实身份发送给应用系统;接收所述应用系统发送的、对所述用户的访问控制结果;将所述访问控制结果发送给所述客户端。
16.根据权利要求14所述的安全代理,还包括:
第二访问控制模块,被配置为获取允许接入所述应用系统的用户名单;根据所述用户的真实身份,判断所述用户是否位于所述用户名单中;如果所述用户位于所述用户名单中,向所述客户端发送允许访问消息;如果所述用户不位于所述用户名单中,向所述客户端发送拒绝访问消息。
17.一种用于身份认证的安全代理,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求6~8中任一项所述的身份认证方法。
18.一种身份认证系统,包括:
权利要求9~13中任一项所述的安全平台;以及
权利要求14~17中任一项所述的安全代理。
19.根据权利要求18所述的身份认证系统,还包括:
客户端。
20.一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现权利要求1~8中任一项所述的身份认证方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111453622.6A CN116208334A (zh) | 2021-12-01 | 2021-12-01 | 身份认证方法、系统和相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111453622.6A CN116208334A (zh) | 2021-12-01 | 2021-12-01 | 身份认证方法、系统和相关设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116208334A true CN116208334A (zh) | 2023-06-02 |
Family
ID=86506534
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111453622.6A Pending CN116208334A (zh) | 2021-12-01 | 2021-12-01 | 身份认证方法、系统和相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116208334A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116567052A (zh) * | 2023-07-11 | 2023-08-08 | 腾讯科技(深圳)有限公司 | 网络连接方法、装置、计算机设备和存储介质 |
-
2021
- 2021-12-01 CN CN202111453622.6A patent/CN116208334A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116567052A (zh) * | 2023-07-11 | 2023-08-08 | 腾讯科技(深圳)有限公司 | 网络连接方法、装置、计算机设备和存储介质 |
CN116567052B (zh) * | 2023-07-11 | 2023-09-15 | 腾讯科技(深圳)有限公司 | 网络连接方法、装置、计算机设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8683565B2 (en) | Authentication | |
CN101557406B (zh) | 一种用户终端的认证方法、装置及系统 | |
US10547602B2 (en) | Communications methods and apparatus related to web initiated sessions | |
CN111586025B (zh) | 一种基于sdn的sdp安全组实现方法及安全系统 | |
CN108833507B (zh) | 一种共享产品的授权认证系统及方法 | |
CN105553666B (zh) | 一种智能电力终端安全认证系统及方法 | |
RU2676896C2 (ru) | Способ и система аутентификации пользователей для предоставления доступа к сетям передачи данных | |
EP2924944B1 (en) | Network authentication | |
US11848926B2 (en) | Network authentication | |
CN110662091B (zh) | 第三方直播视频接入方法、存储介质、电子设备及系统 | |
JP2016521029A (ja) | セキュリティ管理サーバおよびホームネットワークを備えるネットワークシステム、およびそのネットワークシステムにデバイスを含めるための方法 | |
CN110933078A (zh) | 一种h5未登录用户会话跟踪方法 | |
CN109873819A (zh) | 一种防止非法访问服务器的方法及系统 | |
CN111800378A (zh) | 一种登录认证方法、装置、系统和存储介质 | |
US11695737B2 (en) | Intermediary handling of identity services to guard against client side attack vectors | |
CN104247485A (zh) | 在通用自举架构中的网络应用功能授权 | |
US20110289563A1 (en) | Service provision | |
CN116208334A (zh) | 身份认证方法、系统和相关设备 | |
CN109905376B (zh) | 一种防止非法访问服务器的方法及系统 | |
CN103379093A (zh) | 一种实现帐号互通的方法及装置 | |
CN109862009A (zh) | 一种客户端身份校验方法及装置 | |
CN111224955B (zh) | 一种服务响应的方法及系统 | |
US9232078B1 (en) | Method and system for data usage accounting across multiple communication networks | |
CN106961435B (zh) | 一种访问保护方法和系统 | |
CN115695218A (zh) | 基于零信任机制的运维管理方法、装置和相关设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |